威脅檢測已經(jīng)超越了基于簽名的防火墻和入侵檢測系統(tǒng)，包含了監(jiān)測內(nèi)容和通信的新技術(shù)。然而，這些第二層技術(shù)并沒有包括在安全預(yù)算中，原因有很多。其一：這些新系統(tǒng)和服務(wù)(安全智能、威脅預(yù)測和建模、攻擊檢測系統(tǒng)、取證)被排除在外是因為企業(yè)目光短淺地專注于傳統(tǒng)最佳做法或過時的合規(guī)性。

最高級別的安全性可以分為三個方面：人、流程和技術(shù)。根據(jù)公司收入、垂直行業(yè)和地理位置的不同，人和流程將有所不同。然而，在大多數(shù)垂直行業(yè)，大部分安全技術(shù)和威脅檢測保持相對穩(wěn)定和靜態(tài)，其中包括第一層安全技術(shù)。這些技術(shù)被認(rèn)為是安全最佳做法的基礎(chǔ)：防火墻、防病毒、入侵檢測/防御系統(tǒng)、安全web網(wǎng)關(guān)、消息傳遞安全、VPN和安全信息及事件管理。

第一層安全技術(shù)是任何安全架構(gòu)的基礎(chǔ)，但我們已經(jīng)使用它們長達(dá)20年，防病毒軟件甚至長達(dá)30年?，F(xiàn)在我們是時候開始采用和擁抱新技術(shù)了。(這里的新技術(shù)并不是在產(chǎn)品類別前加上“下一代”的已知技術(shù))。

坦白地說，我們需要“現(xiàn)代”技術(shù)，這些網(wǎng)絡(luò)安全設(shè)備和服務(wù)被稱為第二層技術(shù)。這些概念說明了安全行業(yè)內(nèi)獨特模式的轉(zhuǎn)變，同時，解決了安全最佳做法的根本誤解。

增強(qiáng)型威脅檢測的重要性

威脅形式是動態(tài)的，總是會不斷出現(xiàn)新的漏洞利用方法。第一層安全技術(shù)的最大的問題是它們無法阻止未知惡意軟件，或者當(dāng)攻擊成功執(zhí)行后你甚至都不知道。

對于第一層安全技術(shù)的常見誤解是，這些設(shè)備和軟件聲稱覆蓋惡意軟件，但覆蓋的深度水平并沒有明確，這取決于安全供應(yīng)商。例如，一家安全供應(yīng)商聲稱對數(shù)百未知漏洞提供零日覆蓋，如果你仔細(xì)看其過濾器設(shè)置，你會發(fā)現(xiàn)，大部分零日過濾器在默認(rèn)下是禁用的，這是對零日覆蓋的營銷說法，但如果在默認(rèn)下它沒有打開，它如何幫助你抵御威脅和降低風(fēng)險?

大多數(shù)第一層安全技術(shù)可以保護(hù)你免受已知威脅的攻擊。這方面一個很好的例子是微軟。在微軟星期二補(bǔ)丁日(即每個月的第二個星期二)都會發(fā)布Windows的補(bǔ)丁修復(fù)。微軟做得好的地方在于，他們與其微軟主動保護(hù)計劃(Microsoft Active Protections Program)的安全供應(yīng)商成員建立了協(xié)作關(guān)系。微軟在將漏洞信息向公眾發(fā)布之前，會先發(fā)給這些供應(yīng)商。這使這些供應(yīng)商有時間來創(chuàng)建過濾器和簽名來識別已知漏洞。

然而，問題是識別在傳輸中或者目標(biāo)資產(chǎn)中的未知惡意內(nèi)容的能力。下一步是確定攻擊是否成功。大多數(shù)第一層安全技術(shù)無法提供這些急需的功能。

一些第一層安全設(shè)備(例如入侵防御系統(tǒng))無法追蹤交易的狀態(tài)，因為它們在執(zhí)行多個操作來驗證流經(jīng)IPS的數(shù)據(jù)是否與特定過濾器/簽名或模式匹配。此外，一些系統(tǒng)缺乏解析包含惡意軟件的復(fù)合文檔(例如PDF或者Word文檔)的能力。了解正在保護(hù)企業(yè)基礎(chǔ)設(shè)施的產(chǎn)品中存在的問題可以讓你重新考慮你的安全策略。

任何安全策略的目標(biāo)是降低你的總體風(fēng)險。重要的是要明白，并沒有萬能的方法來抵御全部威脅。安全社區(qū)經(jīng)常引述《孫子兵法》中的這句話：“知己知彼百戰(zhàn)百勝。”我們需要了解敵人以及他們用來規(guī)避檢測的方法。但是，在“知己”方面我們做的還不夠，大多數(shù)人專注于增加安全措施，對于每個企業(yè)基礎(chǔ)設(shè)施來說，這并不是千篇一律的。

降低未知風(fēng)險的很好的方法是填補(bǔ)與第二層安全技術(shù)的差距，例如攻擊檢測系統(tǒng)(BDS)。BDS的關(guān)鍵功能是它能夠感知攻擊。BDS可以檢測惡意文件或命令的初始狀態(tài)，并控制未知惡意軟件的通信。這些系統(tǒng)被部署在網(wǎng)絡(luò)邊界作為網(wǎng)絡(luò)設(shè)備或者軟件，其中加載了端點資產(chǎn)。它們使用多種識別向量，例如IP地址和域名聲譽(yù)數(shù)據(jù)、模式匹配、啟發(fā)式、流量監(jiān)控、瀏覽器仿真和操作系統(tǒng)行為分析。圖1展示了今年早些時候我們的BDS測試中一家供應(yīng)商的結(jié)果，其中顯示了該產(chǎn)品識別成功地通過HTTP傳播的惡意軟件的兩個方面的能力。

重要的是要知道，對于任何未知惡意軟件，總是會有一個初始感染資產(chǎn)。BDS讓你可以識別這個初始感染資產(chǎn)，以及提供相應(yīng)的情報來修復(fù)被感染的基礎(chǔ)設(shè)施上的其他資產(chǎn)。這絕對是縱深防御方法，基本上是增加額外的安全性來縮小其他安全技術(shù)留下的空白。

然而，縱深防御有點不確切。我們應(yīng)該將它看做是利用現(xiàn)代技術(shù)(而不是下一代產(chǎn)品和服務(wù))的“信心深度”。筆者的建議是，你應(yīng)該開始考慮在你的預(yù)算中涵蓋第二層安全技術(shù)提供的增強(qiáng)威脅檢測。從概念證明開始，并在你的基礎(chǔ)設(shè)施中測試一些第二層系統(tǒng)。

威脅檢測技術(shù)以及這些系統(tǒng)的成熟度和可擴(kuò)展性因供應(yīng)商而異。要考慮的一些方面包括：這些系統(tǒng)是否需要網(wǎng)絡(luò)或端點部署，或者兩者結(jié)合。如果它使用沙箱技術(shù)，數(shù)據(jù)被發(fā)送到云計算，如果是這樣，這個功能能否被關(guān)閉?這個系統(tǒng)能否檢測已存在的攻擊以及通過側(cè)面通道進(jìn)入的惡意軟件?即使供應(yīng)商聲稱能夠解決這些問題，企業(yè)還是應(yīng)該驗證這些技術(shù)能否像宣傳那樣運(yùn)作。

在NSS實驗室，我們已經(jīng)對這項技術(shù)進(jìn)行全面檢測，并相信它提供了一個堅實的額外安全控制，能夠完善現(xiàn)有安全基礎(chǔ)設(shè)施。而在現(xiàn)有安全基礎(chǔ)設(shè)施內(nèi)采用第二層安全技術(shù)是對付持續(xù)和未知威脅的好辦法。這些資本支出采購類型需要在企業(yè)的財年預(yù)算周期前提前計劃好。